ランディングゾーンとOU単位(CT.MULTISERVICE.PV.1)のリージョン拒否設定を組み合わせて柔軟なリージョン制御を実現してみる

この記事はアノテーション株式会社 AWS Technical Support Advent Calendar 2025 | Advent Calendar 2025 - Qiita 2 日目の記事です。

はじめに

かつまたです。
Control Tower環境において、組織統制やセキュリティ観点から、利用可能なリージョンを制限することは一般的な運用です。 Control Towerではランディングゾーン設定でのリージョン拒否と、OUレベルでのコントロール適用によるリージョン制限の2つの層で制御が可能です。

今回は、ランディングゾーン全体では「東京・バージニア北部・大阪リージョン」を許可しつつ、特定のOUに対してのみコントロールCT.MULTISERVICE.PV.1 を使用して「東京・バージニア北部リージョン」のみを許可する、より詳細な制御構成を試してみました。

リージョン拒否設定について

Control Tower 環境におけるリージョン制御には、大きく分けて以下の2つのレイヤーがあります。

1. ランディングゾーン設定のリージョン拒否

• 組織全体（Management Accountを含む）に適用されるベースラインの設定です。
• ここで「管理対象外（拒否済み）」となったリージョンは、配下のいかなる OU やアカウントでも原則利用できません。

https://docs.aws.amazon.com/ja_jp/controltower/latest/userguide/region-deny.html

2. OU 単位のコントロール (CT.MULTISERVICE.PV.1)

• コントロール名: [CT.MULTISERVICE.PV.1] Deny access to AWS based on the requested AWS Region for an organizational unit
• 特定のOUに対して、SCPを用いて追加のリージョン制限をかけます。
• ランディングゾーン設定で許可されていても、このコントロールで指定されていないリージョンへのアクセスはSCPによって拒否されます。

https://dev.classmethod.jp/articles/202506-enabling-ct-multiservice-pv1/

やってみる

前提

• Control Tower環境実装済み(OU2つ、OU配下にそれぞれアカウント作成済み)
• リージョン拒否コントロールを東京・大阪・バージニア北部リージョンに設定済み
  

OU単位のコントロール実装と確認

1. OU へのコントロール適用と設定
   まず、対象のOU(Members ControlTowerOU) に対して、コントロール CT.MULTISERVICE.PV.1 を有効化します。
   Control Towerの「Contol Catalog」から「[CT.MULTISERVICE.PV.1] Deny access to AWS based on the requested AWS Region for an organizational unit」を検索し、「コントロールを有効にする」を選択します。

コントロールの設定画面（リージョンアクセスを指定）にて、許可するリージョンを選択します。 ここでは、「米国東部（バージニア北部）」 と 「アジアパシフィック（東京）」 のみにチェックを入れます。 ランディングゾーン設定では許可されている 「アジアパシフィック（大阪）」 にはチェックを入れず、管理対象外とします。

これにより、この OU 配下では大阪リージョンへのアクセスがSCPによってブロックされるはずです。

2. 大阪リージョンでの作成拒否を確認（制限対象OU）
   設定が完了した後、制限対象である MembersControlTowerOU 配下のアカウントにログインし、大阪リージョン(ap-northeast-3)でS3バケットの作成を試みます。

バケット作成を実行すると、以下の通りエラーが発生しました。

User: ... is not authorized to perform: s3:CreateBucket ... with an explicit deny in a service control policy

SCPによる明示的な拒否により、バケット作成がブロックされたことが確認できました。ランディングゾーンレベルでは大阪が許可されていても、OUレベルのコントロールが優先して効いていることがわかります。

3. 大阪リージョンでの作成成功を確認（制限対象外OU）
   次に、比較対象として MembersControlTowerOU配下ではない（今回のコントロールが適用されていない）アカウントで同様の操作を行います。 このアカウントも同じランディングゾーン配下にあるため、ランディングゾーン設定で許可されている大阪リージョンが使えるはずです。

こちらは問題なく作成に成功しました。 S3コンソールの一覧でも、大阪リージョン (ap-northeast-3)にバケットが存在していることが確認できます。

おわりに

Control Towerのランディングゾーン設定と、OU単位のリージョン制限コントロールの挙動の違いについて確認しました。

• ランディングゾーン設定: 組織全体での許可範囲を定義
• OU単位のリージョン制限コントロール (CT.MULTISERVICE.PV.1): 特定の部署や環境（本番環境など）に対して、さらに厳しいリージョン制限を適用

これらを組み合わせることで、「DR（災害復旧）用アカウントだけは大阪を使えるようにし、それ以外の開発・本番アカウントは東京のみに限定する」といった、柔軟かつ堅牢なガバナンスを効かせることが可能です。
ご覧いただきありがとうございました。

アノテーション株式会社について

アノテーション株式会社はクラスメソッドグループのオペレーション専門特化企業です。サポート・運用・開発保守・情シス・バックオフィスの専門チームが、最新 IT テクノロジー、高い技術力、蓄積されたノウハウをフル活用し、お客様の課題解決を行っています。当社は様々な職種でメンバーを募集しています。「オペレーション・エクセレンス」と「らしく働く、らしく生きる」を共に実現するカルチャー・しくみ・働き方にご興味がある方は、アノテーション株式会社 採用サイトをぜひご覧ください。